Configuration d’ESA : Présentation d'Event Stream Analysis

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

RSA NetWitness® Suite  Event Stream Analysis (ESA) fournit une analytique de flux avancée telle que la corrélation et le traitement complexe d'événements, avec un haut débit et une faible latence. Il est capable de traiter de gros volumes de données d'événements disparates provenant des Concentrators.

Le langage avancé de traitement des événements (Event Processing Language) d'ESA vous permet de réaliser le filtrage, l'agrégation, l'association, la reconnaissance de schémas et la corrélation entre plusieurs flux d'événements disparates. Event Stream Analysis contribue à une puissante fonction de détection et d'alerte des incidents.

Le schéma suivant présente le workflow de données général :


Schéma de flux de données d’alerte général

Il existe deux services ESA pouvant s’exécuter sur un hôte ESA :

  • Event Stream Analysis (règles de corrélation ESA)
  • Event Stream Analytics Server (ESA Analytics)

Le premier service est le service Event Stream Analysis qui crée des alertes à partir de règles ESA, également appelé ESA Correlation Rules, que vous créez manuellement ou téléchargez à partir de Live. Le deuxième service est le service ESA Analytics, qui est utilisé pour la détection automatisée des menaces. Étant donné que le service ESA Analytics utilise des modules ESA Analytics préconfigurés pour la détection automatisée des menaces, vous n’avez pas besoin de créer ou de télécharger des règles pour utiliser la détection automatisée des menaces.

Les services ESA Analytics utilisent l’agrégation basée sur la requête (QBA) pour collecter des événements filtrés pour les modules ESA Analytics à partir des Concentrators. Seules les données requises par un module sont transférées entre le service Concentrator et le système ESA Analytics. Par exemple, en utilisant un module ESA Analytics pour les domaines suspects, par exemple C2 for Packets (http-packet), un service ESA Analytics peut examiner votre trafic HTTP pour déterminer la probabilité que des activités malveillantes se produisent dans votre environnement.

You are here
Table of Contents > Présentation d'Event Stream Analysis

Attachments

    Outcomes